Ny säkerhetsskyddslag – ska vi RÖS-skydda hela världen nu?

Den nya säkerhetsskyddslagen och säkerhetsskyddsförodningen är ute på remiss, vilket jag tror är ett ämne som majoriteten av mina läsare följer med stor entusiasm. 😉

Överlag gillar jag den. En stor sak som utredningen gör är att diskutera när säkerhetsskydd ska vara relevant. Generellt kan sägas att säkerhetsskydd idag är relevant när information i orätta händer kan skada ”rikets säkerhet” och när det krävs för skyddet mot terrorism. ”Rikets säkerhet” är ett fantastiskt flummigt begrepp, som tolkas olika av olika myndigheter. Försvaret har sett det ur ett totalförsvarsperspektiv. Säkerhetspolisen har mer sett det utifrån samhällets förmåga att upprätthålla nödvändiga samhällsfunktioner.

Regeringen har kommit med en del uttalanden om att den senare tolkningen är den som ska gälla. Utredningen gör det ännu tydligare genom att ge en rad exempel på samhällsviktiga funktioner. Där ingår bland annat rättsväsendet, internetförsörjning, mobiltelefoni, folkbokföringen, pensionssystemet, sjuk- och arbetslöshetsförsäkringen med mer, utöver det uppenbara kring totalförsvaret. Det ska även omfatta företag som tillhandahåller funktioner som är nödvändiga för ett fungerande samhälle, vilket gör att exempelvis nätoperatörer inkluderas.

Kring socialförsäkringssystem med mer förtydligas det ytterligare: ”Begränsningar i att få korrekta basuppgifter från systemen eller en längre tid med icke fungerande informationssystem kan allvarligt skada olika former av funktioner.”

Det är alltså rätt mycket som ingår i begreppet Sveriges säkerhet.

Idag får myndigheter besluta att en anställning ska vara placerad i säkerhetsklass om det är en tjänst där personen får kontakt med information som har betydelse för rikets säkerhet. Då genomförs en säkerhetsprövning innan man blir anställd, där man till exempel kan titta på om en person är dömd för brott eller har skulder.

Idag ligger därför väldigt stort fokus på att se till att fel personer inte får tillgång till informationen. Men för många delar av de här verksamheterna är inte sekretessdelen det viktigaste, utan att systemen är uppe och snurrar. Så låt säga att Skatteverket vill säkerställa att deras nätverkspersonal är pålitliga och inte bör få för sig att stänga av nätverket mitt under deklarationstider. Det är ganska rimligt att Skatteverket inte vill ha kriminella och skuldsatta nätversadministratörer. Men Skatteverket får idag inte enkelt säga att det är kraftigt samhällsstörande om nätverket kraschar på ett svårlöst sätt under deklarationstid, utan man behöver krångla till det med resonemang om vilken information personen får tillgång till. Eftersom det är en krånglig kombination av teknik och säkerhetsskydd säger ingen emot, men det kan vara milt sagt svajiga resonemang när myndigheterna ska få ihop det här.

I den nya lagen får myndigheterna direkt hänvisa till tillgänglighet för systemen. Det är generellt sett bra.

Eftersom det är rätt mycket, med varierande skyddsbehov, som ingår i begreppet inför man också ett klassningssystem med fyra nivåer för information.

  • Kvalificerat hemlig (synnerligen allvarlig skada för Sveriges säkerhet)
  • Hemlig (allvarlig skada för Sveriges säkerhet)
  • Konfidentiell (inte obetydlig skada för Sveriges säkerhet)
  • Begränsad (ringa skada för Sveriges säkerhet)

För att hantera information med säkerhetsskyddsklassificering begränsad krävs ingen säkerhetsprövning. Där kan alltså dömda personer eller kraftigt skuldsatta personer få anställning för att arbeta med informationen.

So far so good.

Det roliga kommer när vi kommer till säkerhetsskyddsförordningen och de praktiska krav som ska ställas på systemen. Alla IT-system som hanterar information som är klassad som begränsad ska ha RÖS-skydd och av försvarsmakten godkända krypteringsfunktioner.

Röjande signaler, RÖS, handlar till stor del om att IT-utrustning ger ifrån sig elektromagnetiska fält som i vissa fall går att avlyssna för att få fram känslig information. Det är extremt mycket mer komplicerat än att få in en opålitlig anställd i en verksamhet utan säkerhetsprövningar.

Det ska alltså inte vara tillåtet att kolla om personalen som arbetar med uppgifterna inte är över öronen skuldsatta eller tidigare dömda för sabotage. Men man ska ha skydd mot röjande signaler. Och speciell krypteringsutrustning från Försvarsmakten.

Det gäller bara information som inte får läcka – inte system som behöver vara tillgängliga men inte innehåller information som inte får läcka. Men, i princip varje system som kan skada Sveriges säkerhet om det blir otillgängligt hanterar uppgifter som kan göra systemet otillgängligt. Ett exempel är lösenord för administratörer.

RÖS-skydd för all information som berör Sveriges säkerhet är högre krav än Försvarsmakten har idag. Försvarsmaktens lägsta klass kräver RÖS-skydd från konfidentiell och bara under vissa förutsättningar. Jag tror sådär helt hypotetiskt att Försvarsmakten har större hotbild från spioner än Försäkringskassans systemadministratörer…

Tack och lov finns skrivelser om att Försvarsmakten och Säpo ska kunna förskriva eller besluta om undantag. Men en paragraf i en förordning som kräver att myndigheterna med föreskriftsrätt genast föreskriver om breda, generella undantag som gäller en majoritet av all verksamhet som berörs av förordningen är felskriven.

Förslaget känns som ett resultat av att de tekniska aspekterna av säkerhetsskydd för IT-system är väldigt komplicerat. Eftersom det är svårt är det få människor som förstår vad det innebär och då kan saker som låter bra för en amatör komma med. Och det är väldigt jobbigt när sådana saker hamnar i lagar eller förordningar.

Kim Hakkarainen har skrivit en bra sammanfattning om den nya säkerhetsskyddslagen. I övrigt kanske vi inte är jättemånga som bloggat på temat. Väldigt konstigt. 😉

Annonser